Вирусная атака на сервера роснефть. «Роснефть» сообщила о мощной хакерской атаке на свои серверы. Распространение в мире

», «Башнефть-добыча» и управлении «Башнефти») заражены вирусом-шифровальщиком, рассказали «Ведомостям» два источника, близких к «Башнефти». Шифровальщик предупредил пользователей, что все их файлы заражены, а попытки самостоятельного восстановления – бесполезны. Шифровальщик предлагает перевести $300 в криптовалюте биткоин в обмен за разблокировку доступа.

В своем Twitter-аккаунте «Роснефть» сообщила о мощной хакерской атаке на серверы компании. Представитель «Роснефти» не уточнил «Ведомостям», касается ли это сообщение атаки на «Башнефть». Позже компания сообщила, что «⁠распространители лживых панических сообщений будут рассматриваться как сообщники организаторов хакерской атаки и вместе с ними нести ответственность».

Один из сотрудников «Башнефти» на условиях анонимности рассказал «Ведомостям» об атаке: «Вирус вначале отключил доступ к порталу, к внутреннему мессенджеру Skype for business, к MS Exchange, значения не придали, думали, просто сетевой сбой, далее компьютер перезагрузился с ошибкой. "Умер" жесткий диск, следующая перезагрузка уже показала красный экран». По его словам, все сотрудники получили распоряжение выключить компьютеры.

⁠⁠⁠Хакерская атака могла привести к серьезным последствиям, однако благодаря тому, что компания перешла на резервную систему управления производственными процессами, ни добыча, ни подготовка нефти не остановлены, сообщил представитель «Роснефти».

Фотография предоставлена сотрудниками «Башнефти»

Помимо Башнефти атаке подверглись и другие крупные компании, утверждает автор telegram-канала «Сайберсекьюрити» Александр Литреев. По его словам, об аналогичных проблемах ему сообщили люди, работающие в Mondelēz International, Ощадбанке, Mars, Новой почте, Nivea, TESA и других.

Сейчас речь идет не об известном вирусе WannaCry, а о подобной по своему поведению вредоносной программе, сообщил Литреев. По его словам, вирус является модификацией известного вируса Petya.A, он поражает жесткий диск и распространяется при помощи ссылок в письмах. Стоит кому-то одному нажать на ссылку, как заражение распространяется по внутренней сети предприятия, объясняет он.

По данным криминалистической лаборатории Group-IB, жертвами атаки вируса Petya.A стали более 80 российских и украинских компаний. Чтобы остановить распространение вируса, необходимо закрыть TCP-порты 1024-1035, 135 и 445, подчеркнули в Group-IB. Руководитель лаборатории Валерий Баулин в разговоре с RNS также подчеркнул, что атака не имеет отношения к WannaCry.

«Среди жертв кибератаки оказались сети "Башнефти", "Роснефти", украинских компаний "Запорожьеоблэнерго", "Днепроэнерго" и Днепровской электроэнергетической системы, также заблокированы вирусной атакой Mondelēz International, Ощадбанк, Mars, "Новая почта", Nivea, TESA и другие. Киевский метрополитен также подвергся хакерской атаке», – указывает Group-IB. Также вирус проник на компьютеры правительства Украины, операторов страны (Киевстар, LifeCell, Укртелеком) и Приватбанка. «Аэропорт "Борисполь", предположительно, также подвергся хакерской атаке», - добавляют в лаборатории.

Вирус-шифровальщик атаковал комьютеры идесятков компаний в России и на Украине, парализовав работу в том числе государственных структур, и начал распространяться по всему миру

В РФ жертвами вируса Petya - клона вымогателя WannaCry, поразившего компьютеры по всему миру в мае, - стали "Башнефть" и "Роснефть".

В "Башнефти" вирусом заражены все компьютеры, сообщил источник в компании "Ведомостям". Вирус шифрует файлы и требует выкупа в размере 300 долларов на биткоин-кошелек.

"Вирус вначале отключил доступ к порталу, к внутреннему мессенджеру Skype for business, к MS Exchange, думали, просто сетевой сбой, далее компьютер перезагрузился с ошибкой. "Умер" жесткий диск, следующая перезагрузка уже показала красный экран", - рассказал источник.

Практически одновременно о "мощной хакерской атаке" на свои серверы заявила "Роснефть". IT-системы и управление добычей переведены на резервные мощности, компания работает в штатном режиме, а "распространители лживых и панических сообщений будут нести ответственность вместе с организаторами хакерской атаки", заявил ТАСС пресс-секретарь компании Михаил Леонтьев.

Сайты «Роснефти» и «Башнефти» не работают.

Атака была зафиксирована около 14.00 мск, среди ее жертв на данный момент 80 компаний. Помимо нефтяников пострадали представительства Mars, Nivea и Mondelez International (производитель шоколада Alpen Gold), сообщила Group-IB, которая занимается предотвращением и расследованием киберпреступлений.

Также об атаке на свои ресурсы сообщили металлургическая компания Evraz и банк "Хоум Кредит".

На Украине вирус атаковал компьютеры правительства, магазины "Ашан", Приватбанк, операторов связи "Киевстар", LifeCell и "Укртелеком".

Под ударом оказались Аэропорт "Борисполь", Киевский метрополитен, Запорожьеоблэнерго", "Днепроэнерго" и "Днепровская электроэнергетическая система".

Чернобыльская АЭС перешла на радиационный мониторинг промышленной площадки в ручном режиме из-за кибератаки и временного отключения системы Windows, сообщили "Интерфаксу" в пресс-службе Государственного агентства по управлению зоной отчуждения.

Вирус-шифровальщик затронул большое количество стран по всему миру, сообщил руководитель международного исследовательского подразделения «Лаборатории Касперского» Костин Райю в своем аккаунте в Twitter.

В 18.05 мск об атаке на свои серверы объявила датская судоходная компания A.P. Moller-Maersk. Помимо России и Украины, пострадали пользователи в Великобритании, Индии и Испании, сообщил Reuters со ссылкой на Агентство информационных технологий правительства Швейцарии.

По его словам, в новой версии вируса, которая появилась 18 июня этого года, есть поддельная цифровая подпись Microsoft.

В 18.05 мск об атаке на свои серверы сообщила датская судоходная компания A.P. Moller-Maersk. Гендиректор ГК InfoWatch Наталья Касперская пояснила ТАСС, что сам вирус-шифровальщик появился более года назад. Он распространяется, в основном, через фишинговые сообщения и является модифицированной версией известной ранее вредносной программы. "Он объединился с некоторым другим вымогателем-вирусом Misha, который имел права администратора. Это был улучшенная версия, резервный шифровальщик", - рассказала она.

По словам Касперской, быстро побороть майскую атаку шифровальщика WannaCry было возможно из-за имевшейся в вирусе уязвимости. "Если вирус такой уязвимости не содержит, то бороться с ним сложно", - добавила она.

Масштабная кибератака с использованием вируса-вымогателя WannaCry, поразившего более 200 тысяч компьютеров в 150 странах, произошла 12 мая 2017 года.

WannaCry шифрует файлы пользователя и для их расшифровки требует оплату в биткоинах, эквивалентную 300 долларам.

В пресс-службе компании Group-IB, которая занимается расследованием киберпреступлений, РБК сообщили, что хакерская атака на ряд компаний при помощи вируса-шифровальщика Petya «очень схожа» с атакой, которая произошла в середине мая при помощи вредоносной программы WannaCry. Petya блокирует компьютеры и требует взамен $300 в биткоинах.

«Атака произошла около 14.00. Судя по фотографиям, это криптолокер Petya. Способ распространения в локальной сети аналогичен вирусу WannaCry», — следует из сообщения пресс-службы Group-IB.

В это же время сотрудник одной из «дочек» «Роснефти», которая занимается шельфовыми проектами, говорит, что компьютеры не выключались, экраны с красным текстом появились, но не у всех сотрудников. Тем не менее в компании коллапс, работа остановлена. Собеседники также отмечают, что в офисе «Башнефти» в Уфе полностью выключили все электричество.

На момент 15:40 мск официальные сайты «Роснефти» и «Башнефти» недоступны. Факт отсутствия ответа можно подтвердить на ресурсах проверки статуса сервера. Сайт крупнейшей «дочки» «Роснефти» «Юганскнефтегаза» тоже не работает .

Позже компания написала в своем Twitter, что хакерская атака могла привести к «серьезным последствиям». Несмотря на это, производственные процессы, добыча, подготовка нефти не были остановлены благодаря переходу на резервную систему управления, пояснили в компании.

В настоящее время Арбитражный суд Башкирии завершил заседание, на котором рассматривал иск «Роснефти» и подконтрольной ей «Башнефти» к АФК «Система» и «Системе-Инвест» о взыскании 170,6 млрд руб., которые, как утверждает нефтяная компания, «Башнефть» понесла в виде убытков в результате реорганизации в 2014 году.

Представитель АФК «Система» попросил суд отложить следующее заседание на месяц, чтобы стороны успели ознакомиться со всеми ходатайствами. Судья назначила следующее заседание через две недели — на 12 июля, отметив, что у АФК много представителей и они справятся за этот срок.

Компания «Роснефть» пожаловалась на мощную хакерскую атаку на свои сервера. Об этом компания сообщила в своем Twitter . «На серверы компании осуществлена мощная хакерская атака. Мы надеемся, что это никак не связано с текущими судебными процедурами», - указывается в сообщении.

«По факту кибератаки компания обратилась в правоохранительные органы», - говорится в сообщении. В компании подчеркнули, что хакерская атака могла привести к серьезным последствиям, однако «благодаря тому, что компания перешла на резервную систему управления производственными процессами, ни добыча, ни подготовка нефти не остановлены». Собеседник газеты «Ведомости», близкий к одной из структур компании, указывает , что все компьютеры в НПЗ «Башнефти», «Башнефть-Добыче» и управлении «Башнефти» «единомоментно перезагрузились, после чего скачали неустановленное программное обеспечение и вывели на экран заставку вируса WannaCry».

На экране пользователям было предложено перевести $300 в биткоинах по указанному адресу, после чего пользователям якобы будет выслан ключ для разблокировки компьютеров на e-mail. Вирус, судя из описания, зашифровал все данные на пользовательских компьютерах.

Group-IB, занимающаяся предотвращением и расследованием киберпреступлений и мошенничеств, идентифицировала вирус, поразивший нефтяную компанию, сообщили Forbes в компании. Речь идет о вирусе-шифровальщике Petya, который атаковал не только «Роснефть». Специалисты Group-IB. выяснили, что атакованы около 80 компаний России и Украины: сети «Башнефти», «Роснефти», украинских компаний «Запорожьеоблэнерго», «Днепроэнерго» и Днепровской электроэнергетической системы, Mondelēz International, «Ощадбанк», Mars, «Новая Почта», Nivea, TESA и другие. Киевский метрополитен также подвергся хакерской атаке. Атакованы правительственные компьютеры Украины, магазины Ашан, украинские операторы (Киевстар, LifeCell, УкрТелеКом), ПриватБанк. Аэропорт «Борисполь», предположительно, также подвергся хакерской атаке.

Вирус распространяется или как wannacry, или через рассылку - сотрудники компаний открывали вредоносные вложения в письмах электронной почты. В результате компьютер жертвы блокировался и MFT (файловая таблица NTFS) надежно шифровалась, объясняет представитель Group-IB. При этом на экране блокировки не указано название программы-шифровальщика, что осложняет процесс реагирования на ситуацию. Также стоит отметить, что в Petya используется стойкий алгоритм шифрования и нет возможности создать инструмент расшифровки. Шифровальщик требует $300 в биткоинах. Потерпевшие начали уже переводить деньги на кошелек злоумышленников.

Специалисты Group-IB установили, что недавно модифицированную версию шифровальщика Petya - «PetrWrap» использовала группа Cobalt для сокрытия следов целевой атаки на финансовые учреждения. Преступная группа Cobalt известна тем, что успешно атаковала банки по всему миру - России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии. Эта структура специализируется на бесконтактных (логических) атаках на банкоматы. Кроме систем управления банкоматами, киберпреступники стараются получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу.

Основной целью атаки вируса Petya, поразившего недавно тысячи компьютеров по всему миру, являлись компьютерные системы и . К такому выводу пришел ряд зарубежных СМИ.

По мнению изданий, хакерская атака была направлена на разрушение важных улик, имеющих критическое значение для текущего судебного разбирательства «Роснефти» и «Башнефти» с , владельцем которой является российский олигарх .

«Petya - это не вирус-вымогатель, а программа, разрушающая данные на зараженных компьютерах. Назвать его, похоже, следует не Петя, а Петрович - по отчеству главы АФК «Система» Владимира Петровича Евтушенкова», - пишет Bostonmail.

Издание отмечает, что через несколько часов после атаки авторитетный американский журнал Fortune со ссылкой на заключения компьютерных аналитиков сообщил, что источник кибератаки был расположен в Украине. Атаку запустили в украинской компании «Интеллект-сервис», занимающейся разработкой бухгалтерского ПО MeDoc. Среди заказчиков «Интеллект-сервиса» - один из крупнейших мобильных операторов Украины - Vodafone. До осени 2015 г. фирма, ныне предлагающая свои услуги под названием Vodafone, называлась «МТС Украина». Владельцем 100 процентов акций компании является российская группа МТС, являющаяся центральным активом «Системы».

Кибератака с использованием Petya была запущена в тот момент, как Арбитражный суд Башкортостана начал слушания по делу «Роснефти» против «Системы». По мнению издания, такое стечение обстоятельств нельзя назвать простым совпадением.

Это отчасти стало причиной того, что бизнесмен пребывает в шокированном состоянии, полагает издание. «Несомненно, он был готов пойти до конца ради спасения своей репутации и состояния», - считают в Bostonmail. Незадолго до кибератаки Арбитражный суд Башкортостана получил ходатайство, в котором говорилось, что «Роснефть» отказывается от иска к «Системе», поскольку компании достигли мирового соглашения. Документ был подписан двумя вице-президентами «Роснефти». Впоследствии было установлено, что это была подделка, но до сих пор неясно, кто прислал ее в суд.

Пресс-секретарь «Роснефти» вскоре после вирусной атаки заявил, что целью киберпреступления было «убить» компьютеры «Башнефти». Компьютеры, как он добавил, содержали большое количество информации об операциях «Башнефти» в период, когда она принадлежала другим владельцам.

Побочный ущерб, от которого пострадала Украина и другие страны, не случаен: он был необходим для того, чтобы прикрыть реальную цель атаки, пишет издание EU Repoter. Запустив атаку именно на Украине, преступники тем самым гарантировали, что если украинские службы и смогут что-то выяснить, маловероятно, что они поделятся своими находками с российскими коллегами, поскольку Украина не доверяет российским властям. «Я думаю, что атака была направлена именно на «Роснефть». «Других объяснений нет», - рассказал изданию российский журналист.

В поддержку своей теории о том, что Евтушенков был спонсором атаки, он выдвигает тот факт, что «Система» является крупнейшим телекоммуникационным холдингом России, в котором работают лучшие профессионалы страны в области IT. Они знают, как обращаться с вирусами и хакерскими атаками – и, следовательно, как их организовывать. Кто еще на постсоветском пространстве может устроить настолько мощную хакерскую атаку?

В конце июня вирус Petya компьютерные системы на Украине, в России, Италии, Израиле, Сербии, США и других странах. Злоумышленники блокировали компьютеры жертв и требовали выкуп за информацию на них в размере 300 долларов в биткоинах. Позднее специалисты выяснили, что хакеры не планировали восстанавливать доступ к зашифрованным данным, а намеревались их уничтожить.